Siber güvenlik firması Check Point, “FileFix” ismi verilen yeni bir hack sistemine karşı uyardı.
Yöntem siber hatalıların kullanıcıları kandırarak ziyanlı komutlar çalıştırmasını sağlıyor ve önemli güvenlik riskleri oluşturuyor. Üstelik kullanıcılar kandırıldıkları sırada kendi bilgisayarları tarafından rutin süreçler yapmaya sevk ediliyor.
NASIL İŞLİYOR?
FileFix, daha evvel yaygın halde kullanılan “ClickFix” tekniğinin bir türevi. ClickFix, Windows’un “Çalıştır” penceresi üzerinden makus gayeli komutlar çalıştırmak için kullanıcıları kandırıyordu. Çalıştır, Windows işletim sistemlerinin en çok kullanılan araçlarından biri. Bu pencere bilgisayarda rastgele bir süreci yapmak ya da rastgele bir uygulama ya da programı açmak için kullanılıyor.
FileFix ise direkt bir internet sayfasından Windows Belge Gezgini’ni açıyor ve gizlenmiş bir PowerShell komutunu kullanıcının panosuna otomatik olarak yüklüyor. PowerShell, Windows’un bilgisayardaki süreçleri otomatikleştirmek için geliştirdiği bir araç. Bu durumda ise ziyanlı bir yazılımı sürece almış oluyor.
Saldırı formülü adım adım şu biçimde işliyor:
– Geçersiz bir web sayfası açılıyor (örneğin “görsel doğrulama” ya da “belge paylaşımı” gibi).
– Bu sayfa, “Dosya Gezgini’ni aç” butonuna “tıkla” dedikten sonra explorer.exe’yi başlatıyor.
– Tıpkı anda JavaScript ile ziyanlı bir PowerShell komutu panoya kopyalanıyor.
– Sayfa kullanıcıya “Adres çubuğuna yapıştır ve enter tuşuna bas” talimatı veriyor. Böylelikle Windows ziyanlı PowerShell komutunu art planda çalıştırıyor.
RUTİN DAVRANIŞLARI GAYE ALIYOR
Kısacası birden fazla durumda neler olduğunu anlamayabilecek kullanıcılar, bilgisayarından gelen komutları takip ederek ziyanlı yazılımı çalıştırmış oluyor. Bu atağın rastgele bir yazılım açığından değil, büsbütün rutin kullanıcı davranışlarını ve kullanıcı inancını suistimal ederek gerçekleştirildiği vurgulanıyor.
Check Point araştırmacıları, makus niyetli aktörlerin FileFix usulünü hâlihazırda kullanmaya başladığını ve lakin şu anda yüklenen belgelerin zararsız olduğunu lisana getirdi. Buna nazaran saldırganlar muhtemelen gerçek ziyanlı yazılımlardan evvel deneme yapıyor.
IT Pro’ya konuşan uzmanlar, FileFix’in kamuya açıklanmasından sırf günler sonra alanda kullanılmaya başlanmasının, saldırganların yeni metotlara ne kadar süratli adapte olduğunu da ortaya koyduğunu belirtiyor.
Siber güvenlik firması Huntress’ın güvenlik operasyonları yöneticisi Dray Agha, “Saldırganlar, Windows’un temel işleyiş biçimlerini amaç alarak savunmaların uygulanmasını giderek zorlaştırıyor. Ziyanlı PowerShell komutlarını standart güvenlik ihtarları tetiklenmeden çalıştırabiliyorlar” dedi.
Agha, FileFix’in yaygın ve başarılı biçimde kullanıldığını ve çok sayıda kullanıcının bu tekniğe kandığını söyledi.
NASIL KORUNMALI?
Check Point uzmanları, bu cins akınlara karşı korunmak için bilhassa bilişim güvenlik takımlarına şu tekliflerde bulundu:
– Düzmece doğrulama sayfaları ve tanınan hizmetlerin taklit edildiği kimlik avı (phishing) sitelerini yakından izleyin. Bilhassa Cloudflare gibisi şablonlar kullanan geçersiz sayfalara dikkat edin.
– Panoya kopyalanan içerikler ve kullanıcı etkileşimiyle tetiklenen olağandışı PowerShell çalıştırmalarını algılayacak kuralları uygulayın ve daima güncelleyin.
– Toplumsal mühendislik trendlerini takip edin, çalışan eğitimlerini, olay müdahale planlarını ve güvenlik protokollerini sistemli olarak güncelleyin.
– “Doğrulama kültürü” oluşturun. Çalışanlar alışılmadık yahut beklenmedik talepleri kesinlikle ilgili güvenlik ünitesiyle teyit etmeden uygulamamalı.
Öte yandan kullanıcı farkındalığı bu çeşit akınların tesirini azaltmada en değerli savunma sınırı olmaya devam ediyor. Kişisel kullanıcıların da şu mevzularda dikkatli olması tavsiye edildi:
– Kopyala-yapıştır üzere alışılmadık hareketler isteyen e-postalara ve web sayfalarına karşı son derece kuşkucu olun.
– Gerçek internet siteleri yahut yazılımlar, sıkıntıları düzeltmek için manuel komut yürütmenizi nadiren ister.
